Минцифры подготовило законопроект, который позволит правительству и ЦБ определять перечень объектов критической информационной инфраструктуры (КИИ), сообщили «Ведомости» со ссылкой на источники в телеком-операторе и профильной ассоциации. С 2025 года такие объекты должны перейти согласно указу президента на отечественный софт.

Также правительство будет устанавливать порядок закупок и использования телеком-оборудования и программно-аппаратных комплексов (ПАК) иностранного происхождения. Кроме того, правительство и ЦБ наделят полномочиями устанавливать порядок и сроки перехода финансовых организаций — субъектов КИИ на «преимущественное использование российского ПО и отечественной радиоэлектронной продукции, в том числе телекомоборудования и ПАК, на принадлежащих им значимых объектах КИИ».

Источник изображения: ФСТЭК

Эксперты отмечают, что это уже третья редакция закона, которая содержит более жёсткую нормативную базу, ясные требования и невозможность их обойти. При этом попытка бюрократизировать процесс импортозамещения может привести к его затягиванию — более эффективным было бы экономическое стимулирование владельцев КИИ и разработчиков.

Ключевые изменения касаются вопроса категорирования объектов КИИ. Госорганы и ЦБ должны по согласованию с Федеральной службой по техническому и экспортному контролю (ФСТЭК) сформировать перечни типовых отраслевых объектов КИИ, включая типы информационных систем, выполняемых ими функций и видов деятельности. Законопроектом предусмотрены сроки устранения недоработок при предоставлении сведений о КИИ, хотя штрафы за невыполнение требований не прописаны.

В настоящее время субъекты КИИ могут сами категоризировать свои объекты и не относить их к КИИ во избежание лишних хлопот, поскольку это обязывает выполнять целый ряд мероприятий по локализации и защите объекта, что чаще всего сложно, дорого и не всегда реализуемо, если, например, на рынке нет соответствующих отечественных решений, поясняет эксперт.

Компания «АМТ-Груп» сообщила о сертификации Федеральной службой по техническому и экспортному контролю аппаратно-программного комплекса InfoDiode Smart по четвёртому уровню доверия.

InfoDiode Smart относится к классу систем однонаправленной передачи данных и предназначен для обеспечения защиты данных в локально-вычислительных сетях посредством изоляции критичных сегментов инфраструктуры с сохранением возможности межсетевого взаимодействия. Решение поддерживает работу с промышленными протоколами и интеграцию с платформами SCADA.

Устройство однонаправленной передачи данных InfoDiode Smart

Выданный ФСТЭК России сертификат позволяет применять АПК InfoDiode SMART для защиты конфиденциальной информации, объектов критической информационной инфраструктуры и опасных производственных объектов на предприятиях различных отраслей — в государственных структурах, органах власти, промышленности, топливно-энергетическом комплексе, оборонно-промышленном комплексе, финансовой отрасли и других организациях корпоративного сектора.

Комплекс InfoDiode SMART может использоваться для защиты автоматизированных систем до класса 1Г, систем защиты персональных данных 1 уровня защищённости, государственных информационных систем 1 класса защищённости, а также автоматизированных систем управления технологическими процессами до 1 класса включительно.

Российская компания ELMA, занимающаяся разработкой Low-code-платформ для автоматизации и роботизации бизнес-процессов с использованием искусственного интеллекта, чат-ботов и компьютерного зрения, сообщила о получении лицензии Федеральной службы по техническому и экспортному контролю на деятельность по разработке средств защиты конфиденциальной информации (СЗКИ).

Выданная ФСТЭК России лицензия подтверждают соответствие ELMA предъявляемым ведомством требованиям в области IT-безопасности. Документ предоставляет компании не только право на разработку программных средств защиты информации, но также позволяет проводить сертификацию ФСТЭК России на подтверждение отсутствия недекларированных возможностей, несущих скрытые риски при эксплуатации программного обеспечения.

Источник изображения: rawpixel.com / freepik.com

«Лицензия поможет включить в число клиентов тех, кому критически важно соблюсти требования безопасности. Мы рады, что доказали соответствие всем критериям и компетентность нашей команды. Теперь для нас открыта возможность разрабатывать СЗКИ, которые могут быть сертифицированы ФСТЭК России», — прокомментировали в ELMA получение лицензии регулятора.

ELMA ведёт деятельность на российском IT-рынке более 15 лет. Компания имеет более 3500 клиентов и 230 партнёров в России и за рубежом, является резидентом инновационного центра «Сколково». Решения разработчика включены в реестр отечественного ПО.

Федеральная служба по техническому и экспортному контролю продлила действие сертификата соответствия на программный комплекс Dr.Web Enterprise Security Suite, предназначенный для централизованной защиты узлов корпоративной IT-инфраструктуры. Об этом сообщается на сайте компании-разработчика продукта «Доктор Веб».

Dr.Web Enterprise Security Suite автоматизирует процессы выявления и реагирования на инциденты информационной безопасности, нивелируя угрозы без вмешательства IT-служб. При этом сведения обо всех обнаруженных инцидентах журналируются, что позволяет провести расследование каждого инцидента и устранить его причины. Защитный комплекс зарегистрирован в реестре российского софта и может применяться в органах безопасности и иных государственных ведомствах.

Источник изображения: drweb.ru

Выданный ФСТЭК России сертификат подтверждает соответствие Dr.Web Enterprise Security Suite требованиям по безопасности информации по 2 уровню доверия. Продукт может использоваться в информационных (автоматизированных) системах, в которых обрабатывается информация, содержащая сведения, составляющие государственную тайну; в значимых объектах критической информационной инфраструктуры; в государственных информационных системах; в автоматизированных системах управления производственными и технологическими процессами, а также в информационных системах персональных данных при необходимости обеспечения защищённости персональных данных и в информационных системах общего пользования.

Сертификат действителен до 27 января 2029 года.

Российский разработчик систем информационной безопасности NGR Softlab сообщил о сертификации Федеральной службой по техническому и экспортному контролю программного комплекса Infrascope по четвёртому уровню доверия.

Infrascope относится к классу решений Privileged Access Management (PAM) и помогает организациям снижать риск угроз, которые связаны с действиями привилегированных пользователей, имеющих доступ к важным данным и IT-активам. Продукт собирает сведения обо всех действиях администраторов, происходящих в сети, и сохраняет их для последующего просмотра с целью аудита и расследования инцидентов.

Программный комплекс обладает широким диапазоном функций «из коробки» для гибкого управления доступами и контроля привилегированных пользователей в режиме реального времени с возможностью записи всех действий. Уже в базовой конфигурации Infrascope включает более 60 коннекторов и благодаря модульной архитектуре может масштабироваться под запросы организации любого размера.

Сертифицированная версия платформы Infrascope может использоваться для защиты информационных ресурсов предприятий, не работающих с государственной тайной. PAM-система помогает выполнять нормативные требования по защите информационных систем персональных данных (ИСПДн), государственных информационных систем (ГИС), критической информационной инфраструктуры (КИИ), финансовых систем (ГОСТ Р 57580.1-2017) и других стандартов ИБ, в том числе международных (GDPR, PCI DSS, ISO 27002 и пр.).

Российский разработчик систем информационной безопасности «Гарда технологии» (входит в «ИКС Холдинг») сообщил о сертификации Федеральной службой по техническому и экспортному контролю программного комплекса «Гарда маскирование» по четвёртому уровню доверия.

Платформа «Гарда маскирование» предназначена для создания маскированных копий баз данных без изменения целостности базы. Система сканирует и классифицирует данные в защищаемой СУБД для обезличивания персональных данных и удаления конфиденциальной информации с полным сохранением структуры исходного массива данных. Решение защищает информацию при её передаче разработчикам, тестировщикам, аналитикам и другим лицам, для которых доступ к содержимому базы данных необязателен.

«Гарда маскирование» позволяет выявлять и маскировать такие чувствительные данные, как ФИО, номера банковских карт, паспортные данные, даты рождения, ИНН, ОГРН, СНИЛС, номера телефонов, e-mail, логины учётных записей. При этом в качестве методов и алгоритмов маскирования данных могут использоваться генератор ФИО и номеров карт, перемешивание и вставка случайных строк. Продукт поддерживает работу с СУБД MySQL, Microsoft SQL Server, Oracle Database и PostgreSQL.

Сертифицированная версия платформы «Гарда маскирование» может использоваться для защиты информационных ресурсов предприятий, не работающих с государственной тайной.

Компания «НТЦ ИТ РОСА» сообщила об успешном прохождении комплекса испытаний в системе сертификации ФСТЭК России и обновлении выданного ранее сертификата на платформу виртуализации ROSA Virtualization версии 2.1.

Согласно новым «Требованиям по безопасности информации к средствам виртуализации», утверждённым приказом ФСТЭК России № 187 и вступившим в силу 27 октября 2022 года, все программные продукты, реализующие функции средств виртуализации, должны быть сертифицированы по одному из шести классов защиты.

ROSA Virtualization 2.1 соответствует требованиям регулятора и является сертифицированным средством виртуализации четвёртого класса защиты. Платформа может быть использована в государственных организациях и на объектах критической информационной инфраструктуры для построения виртуальной инфраструктуры, обрабатывающей информацию ограниченного доступа, включая персональные данные.

По заверениям разработчика, ROSA Virtualization является первой в России системой управления виртуализацией, которая использует интегрированные средства защиты информации. Встроенные системы защиты закрывают семь из девяти обязательных требований, кроме межсетевого экранирования и антивирусной защиты. Задача межсетевого экранирования решена путём установки в систему продукта Netfilter c инструментом управления iptables, антивирусная защита реализована с помощью таких продуктов, как антивирус «Лаборатории Касперского» и Dr.Web Enterprise Security Suite.

Компания Postgres Professional провела оценку сертифицированных версий систем управления базами данных Postgres Pro Standard и Pro Enterprise согласно новым требованиям Федеральной службы по техническому и экспортному контролю по безопасности информации к СУБД от 14 апреля 2023 года, утверждённых Минюстом в июле 2023 года.

Утверждается, что Postgres Pro стала первой отечественной СУБД, сертифицированной по новым требованиям регулятора. Сертификат допускает использование программного комплекса для хранения и обработки данных в критической инфраструктуре первой категории и государственных информационных системах первого класса защищённости.

Ранее сертифицированные версии Postgres Pro в основном уже соответствовали новым требованиям ФСТЭК России и содержали необходимые механизмы защиты. Для полного соответствия новым требованиям в СУБД были доработаны некоторые команды и утилиты, ведены новые роли администратора и ограничены возможности суперпользователя, обновлена документация, а также усовершенствован модуль pg_proaudit, позволяющий регистрировать события, связанные с безопасностью.

Обновлённая версия Postgres Pro Certified поддерживает три версии ядра СУБД: 11.21.2, 14.9.2 и 15.4.2. Сертификат соответствия № 3637 переоформлен 20 октября 2023 г. Обновлённая редакция Postgres Pro Enterprise Certified поддерживает четыре версии ядра СУБД: 11.21.2, 13.12.3, 14.9.3 и 15.4.3. Сертификат соответствия № 4063, переоформлен 3 ноября 2023 г.

В октябре 2023 года Postgres Professional объявила о выпуске Postgres Pro Standard 16. Её сертифицированная ФСТЭК России версия появится после очередного инспекционного контроля. В декабре компания планирует мажорный релиз новой флагманской Postgres Pro Enterprise 16, в которую войдёт ряд новых крупных решений и доработок. В 2024 году запланирован выпуск очередной сертифицированной версии Postgres Pro Enterprise Certified.

Президент РФ подписал указ, увеличивающий штат работников Федеральной службы по техническому и экспортному контролю и расширяющий её полномочия по управлению безопасностью значимых объектов критической информационной инфраструктуры (КИИ). Об этом сообщает издание D-Russia.ru со ссылкой на официальный портал правовой информации.

Согласно документу, предельная штатная численность центрального аппарата ведомства будет увеличена с 260 до 289 сотрудников, территориальных органов — с 1012 до 1101 работника (без учёта персонала для охраны и обслуживания зданий). Также указ наделяет ФСТЭК России полномочиями по созданию информационной автоматизированной системы для управления деятельностью по технической защите информации и обеспечению безопасности значимых объектов КИИ.

В рамках своей компетенции ФСТЭК России будет вести централизованный учёт информационных систем и иных объектов КИИ по отраслям экономики, а также мониторинг и оценку текущего состояния технической защиты информации и обеспечения безопасности значимых объектов критической информационной инфраструктуры. Также в числе обязанностей ведомства значится оперативное информирование органов власти, местного самоуправления и организаций об угрозах безопасности информации и уязвимостях информационных систем и иных объектов КИИ, а также о мерах по технической защите от этих угроз и уязвимостей.

Список объектов критической информационной инфраструктуры страны включает телекоммуникационные и IT-системы, а также АСУ ТП, которые используются в государственных органах, здравоохранении, на транспорте и в связи, кредитно-финансовой сфере, топливно-энергетическом комплексе и различных отраслях промышленности: атомной, оборонной, ракетно-космической, химической и других.

Разработчики ПО в России регулярно нарушают требования Федеральной службы по техническому и экспортному контролю (ФСТЭК) в плане соблюдения сроков устранения уязвимостей в своих продуктах. Как сообщает газета «Коммерсантъ», связано это в том числе с резким ростом спроса на отечественный софт в сложившейся геополитической обстановке.

Весной 2022 года ФСТЭК отозвала сертификацию у более чем 50 иностранных разработчиков, включая IBM, Microsoft, Oracle и др. Причиной послужила остановка технической поддержки российских заказчиков. Вместе с тем в рамках программы импотозамещения начали стремительно увеличиваться продажи отечественного ПО.

В соответствии с требованиями регламента включения информации об уязвимостях ПО в «Банк данных угроз безопасности информации» ФСТЭК разработчик в случае поступления информации о «дыре» должен принять меры по её устранению в течение 30–60 дней (в зависимости от степени угрозы). Это может быть выпуск патча, новой версии и пр. Однако всё чаще установленные сроки не соблюдаются.

Источник изображения: pixabay.com

Участники рынка говорят, что российские разработчики «отрабатывают инциденты» и вносят правки в ПО вдвое дольше, чем зарубежные. Между тем нарушение регламента ФСТЭК может обернуться отзывом сертификата на продукт. Сами разработчики связывают ситуацию с ростом спроса и загруженностью «всех уровней поддержки». Российские компании оказались не готовы к резкому увеличению запросов по обработке инцидентов после ухода западных поставщиков.

Ещё одна сложность заключается в том, что многие продукты с сертификатом ФСТЭК основаны на открытом коде, устранением уязвимостей в котором «занимается не конкретный разработчик, а сообщество». Поэтому устранение «дыр» в таком софте растягивается на месяцы.